Mr. Bank

分类: (三区)国际注册信息系统安全专家(CISSP)认证考试强化培

  • CISSP考试一次性通过-AIO+Prep Guide知识点详解-加密学

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-加密学

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-加密学部分,

    一.加密学定义
    1.将plaintext转换成ciphertext。提供加解密的系统或者产品称为cryptosystem加密系统,使用必要的加密算法,key,软件组件和协议。加密系统的组成部分4个

    2.一般来说加密算法是公开的,秘密在于key密钥,key是一长串随机bits, 一个算法包含了一个密钥空间keyspace。包含了一系列数值可以构建key.当算法要生成一个新key.使用这个空间中的随机数值。

    二.加密系统的强度:也成为work factor 工作因子:是预估攻击者的努力和资源用于渗透一个加密系统
    1.加密方法的强度来自于算法,key的秘密性、长度,初始向量,以及他们的协同性。
    2.保护机制的强度来自于所要保护数据的敏感性。
    3.一个良好的加密系统包括:没有缺陷的算法,长key size,使用keyspace里面的所有可能数值,保护实际的key

    三.加密系统的服
    1.机密性
    2.完整性
    3.认证
    4.授权
    5.抗抵赖

    军事要求机密性高一些,金融机构要求机密性,但是也关心完整性;法律机构更关心受到消息的认证

    CISSP一次性通过的牛人在备考CISSP考试的时候根据AIO 第四版英文和Prep Guide英文版整理的读书笔记,是CISSP资格认证考试复习所用材料的精华,适合前3个月备考复习使用。是极其有价值的复习资料。

  • CISSP考试一次性通过-AIO+Prep Guide知识点详解-物理安全

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-物理安全

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-物理安全部分,

    1.CPTED犯罪预防通过环境设计:结合物理环境和社会学,来减少犯罪率以及震慑罪犯
    2.safety 和security往往是冲突的,但是第一位的是生命安全
    3.HVAC 温度,通风,空调系统 :提供适宜的温度和湿度,提供闭环空调循环,正气压,通风
    4.高湿度引起corrosion,低湿度引起静电
    5.灰尘和空气污染物影响计算机硬件,应加以控制
    6.接近识别系统分成两个:user-activated 和system-sensing
    7.异频雷达收发机transponder是一个接近识别装置,不需要用户行动,读卡器传递信号给装置,装置回应一个access code
    8.内部partitions不能到达ceiling,因此攻击者可以去掉天花板从上面爬到保密区域
    9.入侵检测装置包括:motion detectors,CCTVs,vibration sensors,electromechanical devices
    10.入侵检测装置可以被渗透,安装费用昂贵,监控需要人员响应,而且容易发生错误报警
    11.cipher key使用key pad而且可以编程

    CISSP一次性通过的牛人在备考CISSP考试的时候根据AIO 第四版英文和Prep Guide英文版整理的读书笔记,是CISSP资格认证考试复习所用材料的精华,适合前3个月备考复习使用。是极其有价值的复习资料。

  • CISSP考试一次性通过-AIO+Prep Guide知识点详解-应用安全

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-应用安全

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-应用安全部分,

    一.软件生命周期开发过程
    1.软件开发的两个基本目标是:开发出符合消费者需求的品质软件;满足成本、时间计划。
    2.waterfull 模型 缺乏项目控制 软件开发在开发者只被允许重复上一个阶段的工作时才能被管理,超过一个阶段的返工将难以管理
    3.verification 和validation Verification evaluates the product during development against the specification, and validation refers to the work product satisfying the real-world requirements and concepts.Verification is doing the job right and validation is doing the right job.

    4.The Spiral 旋转模型。the angular dimension represents the progress made in completing the phases, and the radial dimension represents cumulative project cost.The model states that each cycle of the spiral involves the same series of steps for each part of the project.左下角关注开发计划,然后到左上角定义项目目标、完成项目的可选方法以及这些方法的局限。右上角接下来就是基于项目目标和局限来评估各种可选方法,评估有可能包括:prototyping、modeling、simulation等,这个步骤地目的在于识别和评估风险。一旦这个步骤完成,接下来的遵循传统的生命周期模型方法,右下展示的最终产品的每个部分开发的状态。旋转模型的一个重要概念是左边展示的是完成一个生命周期的主要检查点。

    CISSP一次性通过的牛人在备考CISSP考试的时候根据AIO 第四版英文和Prep Guide英文版整理的读书笔记,是CISSP资格认证考试复习所用材料的精华,适合前3个月备考复习使用。是极其有价值的复习资料。

  • CISSP一次性考试通过者最后一轮冲刺复习资料第一部分

    CISSP一次性考试通过者最后一轮冲刺复习资料第一部分

    CISSP一次性考试通过者整理的备考资料-最后一轮冲刺复习8月28日~8月31日

    今年9月12日一次性考试通过,抽出3个月时间复习了相关资料,现在发布自己根据AIO EN 4th和prep guide整理的复习资料。

    最后一轮复习看的(大约15天)

    包含BCP、物理学、运行安全等内容。

    精炼资料:

    1. business case 需要呈现来获得support,通过解释以下
     regulatory and legal requirements
     exposing vulnerabilities
     providing solutions
    2. DRP和BCP都应该纳入正式的business decision-making procedures
    3. detrimental有害的
    4. BCP 计划的test

    5. BCP更多关注的是A可用性,而DRP更多关注的是C机密性和I完整性
    6. BCP计划
     开发BCP statement,policy / project iniation(goal,scope,support)
     BIA
     现有的控制
     开发recovery strategies
     开发BCP
     Test,drill,training
     Maintain the plan

  • CISSP一次性考试通过者最后一轮冲刺复习资料第三部分

    CISSP一次性考试通过者最后一轮冲刺复习资料第三部分

    CISSP一次性考试通过者整理的备考资料-最后一轮冲刺复习9月5日~9月11日

    今年9月12日一次性考试通过,抽出3个月时间复习了相关资料,现在发布自己根据AIO EN 4th和prep guide整理的复习资料。

    最后一轮复习看的(大约15天)

    CISSP一次性考试通过者最后一轮冲刺复习资料第三部分资料下载,包含安全架构、加密学、网络安全、应用安全等内容。

    难点:

    1. 多数数据库有DDL,DML,QL和报表生成器.
    2. 每个object 都将自己数据和进程封装起来,提供了data hiding ,不同的object使用message通信标准接口API,对象所能完成的任务是method
    3. 数据库的安全问题时aggregation,inference
    4. 对象的问题是cohension 内聚和coupling耦合,高cohesion 低coupling是理想的状态
    5. ORB object request brokers使得在异构和分布式的环境中管理不同对象的通信
    6. CORBA使得不同平台,不同应用,环境中的对象进行通信
    7. COM提供在本地系统上的不同对象之间的通信,DCOM提供的是COM相同的interface,使得分布和网络环境中的组件通信
    8. ODBC使得不同的应用通过必要的驱动并通过驱动传递数据来和不同类型的数据库进行交互
    9. OLE使得一个程序能够call另外的程序,或者使得一段数据插入到另一个程序或文档中
    10. DDE通过提供一个IPC机制,使得应用工作在C/S模型下

    11. 贝叶斯技术用于分析垃圾邮件中,相关字眼出现的频率来作出判断
    12. 攻击方式:smurf利用的是ICMP,fraggle利用的是UDP,两者利用的还有一个大型的网络
    13. Normalization is an important part of database design that ensures that attributes in a table depend only on the primary key.
    14. A dispersed database involves interconnected and related platforms running the same software and using the same data, one of which is centralized

  • CISSP一次性考试通过者最后一轮冲刺复习资料第二部分

    CISSP一次性考试通过者最后一轮冲刺复习资料第二部分

    CISSP一次性考试通过者整理的备考资料-最后一轮冲刺复习9月1日~9月4日

    今年9月12日一次性考试通过,抽出3个月时间复习了相关资料,现在发布自己根据AIO EN 4th和prep guide整理的复习资料。

    最后一轮复习看的(大约15天)

    CISSP一次性考试通过者最后一轮冲刺复习资料第二部分资料下载,包含访问控制、法律道德调查、安全管理等内容。

    一.计算机犯罪分为两种: crime committed against the computer / crimes using the computer

    1.DoS DDoS
    2.密码失窃
    3.网络入侵
    4.emanation eavasdropping 发散信号窃听 电脑终端发散的radio frequency RF信号。美国政府建立一个tempest工程来解决这个问题,要求处理敏感信息的计算机采用shield屏蔽以及其他的发散减少技术。
    5.社会工程:
    6.illegal content of material 例如 p -orno-graphy
    7.fraud欺诈
    8.software piracy 软件盗版
    9.Dumpster Diving 从垃圾中得到机密信息
    10.malicious code恶意代码:病毒、木马、蠕虫
    11.spoofing of IP地址,伪造IP地址
    12.information warfare 信息战,攻击信息基础设施以获得信息上的领先
    13.Espionage间谍
    14.对信息的更改或者破坏
    15.使用因特网上可用的攻击脚本
    16.Masquerading伪造 伪造成一个高权限用户获得非授权访问
    17.embezzlement 挪用
    18.Data-Diddling :篡改数据
    19.terrorism恐怖主义。

    新技术的快速发展通常超过法律更新速度。另外因特网的发展,造成的跨国界网络犯罪也没有统一标准界定。

    二.Law

    有很多类型的法律系统:common law, civil law ,islamic和其他宗教法律。 common law主要用于:美国,英国,澳洲,加拿大,civil law用于欧洲